最近，360云安全系统发现了一个名为“Jiwa”的远程控制木马，它通过网络钓鱼软件和网页挂马等多种渠道进行传播。除了能进行操控中招电脑等行为外，“金色宝贝”还将使用控制命令让机器人弹出惊心动魄的幽灵flash动画，再加上动画中突然的尖叫声，恐怖程度不会丢失！ 经分析，”诡娃”是基于Njrat 0.7 修改。(Njrat,又称Bladabindi，该木马家族使用C#编写，是一个典型的RAT类程序，通过控制端可以操作受控端的文件、进程、服务、注册表内容、键盘记录等，也可以盗取受控端的浏览器里保存的密码信息等内容。此外，还具有远程屏幕抓取，木马客户端升级等功能。Njrat采用了插件机制，通过使用不同的插件来扩展新的木马功能。) 托管木马程序的整体代码结构如下所示： 图1 创建互斥锁以确保只有一个进程实例正在运行，其中互斥锁名称为：Windows Update 图2 图3  木马的Main函数入口调用了Ok类的ko方法，该方法中首先对连接远端的地址及端口进行特殊字符替换，再Base64解码后得到连接的地址及端口。 用特殊字符替换相关代码： 图4 连接到远程地址端口： 图5 图6 图7 更换特殊字符后，Base64解码最终得到通信地址：212.115.232.229: 5552，最后njRat将与地址通信，执行控制终端发送的各种命令。 图8 通过它的代码，可以看出它具有执行入侵者以在特洛伊木马机器上执行以下操作的指令： 更改Windows桌面壁纸; 关闭或重新启动计算机; 显示具有指定文本的系统消息; 改变鼠标的左右按钮; 使用语音合成器播放指定的短语; 隐藏或重新打开Windows任务栏; 打开或关闭光驱; 打开或关闭显示屏; 在浏览器中打开一个页面（内置3个恐怖flash动画地址）; 读取，安装或删除系统注册表的指定键值; 接收并发送屏幕截图到控制服务器; 下载并运行指定的程序文件; 更新或删除特洛伊木马程序文件 Failure when receiving data from the peer